AWS Lambda Funzioni di scansione con Amazon Inspector - Amazon Inspector
Comportamenti di scansione per la scansione della funzione LambdaRuntime e funzioni supportati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Lambda Funzioni di scansione con Amazon Inspector

Il supporto di Amazon Inspector per AWS Lambda funzioni e livelli fornisce valutazioni automatiche e continue delle vulnerabilità di sicurezza. Amazon Inspector offre due tipi di scansione della funzione Lambda:

Scansione standard Amazon Inspector Lambda

Questo tipo di scansione è il tipo di scansione Lambda predefinito. Esamina le dipendenze delle applicazioni nelle funzioni e nei livelli Lambda per individuare le vulnerabilità dei pacchetti.

Scansione del codice Amazon Inspector Lambda

Questo tipo di scansione analizza il codice dell'applicazione personalizzato nelle funzioni e nei livelli Lambda alla ricerca di vulnerabilità del codice. È possibile attivare la scansione standard Lambda o la scansione standard Lambda con la scansione del codice Lambda.

Se desideri attivare la scansione del codice Lambda, devi prima attivare la scansione standard Lambda. Per ulteriori informazioni, consulta Attivazione di un tipo di scansione.

Quando attivi la scansione della funzione Lambda, Amazon Inspector crea i seguenti canali collegati ai servizi nel tuo account: e. cloudtrail:CreateServiceLinkedChannel cloudtrail:DeleteServiceLinkedChannel Amazon Inspector gestisce questi canali e li utilizza per monitorare CloudTrail gli eventi per le scansioni. I canali ti consentono di visualizzare CloudTrail gli eventi nel tuo account come se avessi una traccia. CloudTrail Ti consigliamo di creare un percorso personalizzato CloudTrail per gestire gli eventi nel tuo account. Per informazioni su come visualizzare questi canali, consulta Visualizzazione dei canali collegati ai servizi nella Guida per l'AWS CloudTrail utente.

Nota

Amazon Inspector non supporta la scansione delle funzioni Lambda crittografate con chiavi gestite dal cliente. Questo vale per la scansione standard Lambda e la scansione del codice Lambda.

Comportamenti di scansione per la scansione della funzione Lambda

Al momento dell'attivazione, Amazon Inspector analizza tutte le funzioni Lambda richiamate o aggiornate negli ultimi 90 giorni nel tuo account. Amazon Inspector avvia scansioni di vulnerabilità delle funzioni Lambda nelle seguenti situazioni:

  • Non appena Amazon Inspector rileva una funzione Lambda esistente.

  • Quando si distribuisce una nuova funzione Lambda nel servizio Lambda.

  • Quando si implementa un aggiornamento al codice dell'applicazione o alle dipendenze di una funzione Lambda esistente o dei relativi livelli.

  • Ogni volta che Amazon Inspector aggiunge un nuovo elemento di vulnerabilità ed esposizioni comuni (common vulnerabilities and exposures, CVE) al suo database e tale CVE è pertinente alla funzione.

Amazon Inspector monitora ogni funzione Lambda per tutta la sua durata fino a quando non viene eliminata o esclusa dalla scansione.

Puoi verificare quando una funzione Lambda è stata verificata l'ultima volta per verificare la presenza di vulnerabilità dalla scheda Funzioni Lambda nella pagina Gestione dell'account o utilizzando l'API. ListCoverage Amazon Inspector aggiorna il campo Last scanned at per una funzione Lambda in risposta ai seguenti eventi:

  • Quando Amazon Inspector completa una scansione iniziale di una funzione Lambda.

  • Quando viene aggiornata una funzione Lambda.

  • Quando Amazon Inspector esegue nuovamente la scansione di una funzione Lambda perché un nuovo elemento CVE che influisce su tale funzione è stato aggiunto al database Amazon Inspector.

Runtime e funzioni idonee supportati

Amazon Inspector supporta diversi runtime per la scansione standard Lambda e la scansione del codice Lambda. Per un elenco dei runtime supportati per ogni tipo di scansione, consulta e. Runtime supportati: scansione standard di Amazon Inspector Lambda Runtime supportati: scansione del codice Amazon Inspector Lambda

Oltre a disporre di un runtime supportato, una funzione Lambda deve soddisfare i seguenti criteri per essere idonea alle scansioni di Amazon Inspector:

  • La funzione è stata richiamata o aggiornata negli ultimi 90 giorni.

  • La funzione è contrassegnata$LATEST.

  • La funzione non è esclusa dalle scansioni per tag.

Nota

Le funzioni Lambda che non sono state richiamate o modificate negli ultimi 90 giorni vengono automaticamente escluse dalle scansioni. Amazon Inspector riprenderà la scansione di una funzione esclusa automaticamente se viene richiamata nuovamente o se vengono apportate modifiche al codice della funzione Lambda.